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田辺 安 奴 


ここ で は , 「 機 能 安全 」 と いう 考え 方 に つい て 解説 する . また , 
組み 込み シス テム な ど に よっ て 機能 安全 を 確保 する た め の 国 際 
規格 TIEC 61508」 に つい て 解説 する . 本 規格 は 欧州 な どの 
産業 界 に お いて 強制 規格 に 近い も の と し て と ら え られ て お り , 
組み 込み シス テム 技術 者 に と っ て 無視 で き な い 存在 と な りつ つ 
ある . (編集 部 ) 


1. 組み 込み シス テム の た め の 安 宇 規 格 , 
IEC 61508 


2006 年 は , 街中 に ある エレ ベー タ や 身近 な 家庭 用 品 の 
安全 に か か わる 問題 が メデ ィ ア に 取り 上 げ ら れ , 一 般 の 
方 々 も 安全 や 安心 と いっ た 問題 に 対し て 深い 関心 を 寄せ た 
年 だ と 言え る で し ょ う . 事故 が ある と , 安全 に か か わる 問 
題 へ の 関心 が 高まり ます . また , その 都度 , 批判 が な さ 
れ , 対策 が 講じ られ , 経営 者 が 深々 と 謝罪 の 言葉 を 述べ る 


ロ 


1 事後 対策 か ら 事前 対策 へ 


機能 に よっ て 安全 を 確保 する 


[機能 安 宇 ] の 考え 方 を 知る 


組み 込み シス テム 設計 者 の た め の IEC 61508 有 解説 


と いっ た 構図 が 繰り 返さ れ て いま す .「 対応 が 後手 
て いる 」 と いう 印象 を 多く の 方 が 共通 し て 持っ て いる こと 
と 思い ます . 

海外 で は , 1976 年 の イタ リア Seveso に お ける 化学 工場 か 
ら の ダイ オキ シン 飛散 事故 , 1979 年 の 米国 ペン シル バニ ア 
州 Three Mile Island 原 子 力 発電 所 事故 , 1984 年 の イン ド 
Bhopal に お ける 農薬 工場 か ら の 有毒 ガス 流出 , 1986 年 の ウ 
クラ イナ Chernobyl 原 子 力 発電 所 事故 か が ど , それ まで に 経 
験 し た こと の な い 大 き な 事 故 が あり まし た . これ ら の 事故 
を きっ か け に , 欧州 や 米国 で は , 発生 し た 事故 に 対す る 事 
後 対策 より も , 潜在 危険 hazard) を あら か じ め 往 底 的 に 分 
析 し て リス ク を 評価 し , 事前 に 対策 を 講じ る と いう 安全 確 
保 の 考え 方 に 次 第 に 移行 する よう に な り ま し だ 図 1). 

他方 で は , さま ざま な 産業 の 安全 確保 の 目的 で , コン 
ピュ ー タ 技術 が 盛ん に 使用 され る よう に な っ て きま し た . 

この よう な , 新た な 考え 方 や 技術 の 出現 に 対し て , 国際 
電気 標準 会 議 International Electrotechnical Commission 
: IEO) は 2000 年 に コン ピュ ー タ 技術 に よる 機能 安全 を 
確保 する た め の 国 際 規 格 IEC 61508 国内 に お ける 翻訳 
規格 は JIS C 0508 2)」 を 発行 し まし た . 

IEC 61508 は 任意 規格 で あり , 規格 その も の に は 法 的 な 
拘束 力 は あり ませ ん . し か し , 海外 の 産業 界 で は , 強制 規 
格 に 近い と ら え 方 を し て いま す . これ は , シス テム や 組織 
を IEC 61508 に 適合 させ る こと で 企業 責任 を 果たし , これ 
に よっ て 国際 競争 力 を 高め る 意図 が あり ます . 

2000 年 か ら 2005 年 に か け て IEC は , 原子 力 や プロ セス 
産業 , 鉄道 , 産業 機械 な どの 各 分 野 に お ける 機能 安全 規格 


こつ 


d 機能 安全 , IEC 61508, JIS C 0508, 潜在 危険 , hazard, リス ク , 危害 , 安全 関連 系 , SIL, HAZOP, FTA, 


ETA, 目標 機能 失敗 尺度 , 安全 ライ フ ・ サ イク ル , 多重 化 , 冗長 化 , PL 法 
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組み 込み シス テム o 幅 頼 性 と 安全 性 を 高め る 


( IEC 61508 の サブ 規格 ) を 制定 し まし た . さら に , 国際 標 
準 化 機構 International Organization for Standardization 
: ISO) が 自動 車 分 野 に お ける 機能 安全 規格 を 現在 審議 中 
で あり , 2008 年 に 制定 する 予定 と な っ て いま す . この よう 
に し て , 多く の 産業 分 野 に 機能 安全 の 考え 方 が 浸透 し て き 
て お り , 各国 で 関心 が 急速 に 高まっ て いま す . 

IEC 61508 の 規格 書 は 400 ペ ー ジ も あり , 難解 と いう 指 
摘 も あり ます . ここ で は , 機能 安全 規格 の 基本 的 な 考え 方 
に つい て , 分 か り や すく 解説 し ます . 


人 @ 次 善 の 策 と し て の 機能 安全 

機能 安全 は ,「 本 質 安全 」 と いう 考え 方 に 対比 され る 新 し 
い 概 念 で す . 例 と し て 鉄道 を 考え て み ま し ょ う . 踏切 事故 
を な くす た め に は , 立体 交差 に する の が 最も 確実 な 方 法 で 
ず 図 22. この よう な 対策 に よっ て 根源 か ら リ スク を な く 
し て 達成 する 安全 の こと を , 本 質 安全 と 呼び ます . 

し か し 現実 的 に は , すべ て の 踏切 を 立体 交差 に は で きま 
せん . この た め , 信号 や 列車 停止 装置 な どの 周辺 の 安全 
能 に よっ て 相対 的 に リス ク を 軽減 させ , リス ク を 許容 で き 
る 程度 以下 に し ます . この よう な 対策 に よっ て 安全 を 確保 
する こと を 機能 安全 と 呼び ます . も ちろ ん , 本 質 安全 を 達 
成 で きた 方 が 良い の は 言う まで も あり ませ ん . 

ここ で 言う リス ク と は , 「 危害 の 発生 顔 度 と 危害 の 過酷 
さ の 組み 合わ せ 」 を 指し て いま ず め . 機能 安全 規格 で ある 
IEC 61508 は , シス テム に どの よう な 危険 が 潜ん で いて ど 
の よう な 頻度 で 発生 する の か , また , それ が 発生 し た 場合 
の 危害 harm) の ひど さ は どの 程度 な の か を 想定 し , リス 
ク を 許容 で きる 範囲 内 に 収め る た め の 管 理 の 枠組 み を 規定 
し て いま 用 語 の 定義 に つい て は , 下 掲 の コラ 危害 ・ 
潜在 危険 ・ リ スク 」 を 参照 の こと ). 


we 中 危害 ・ 潜 在 危険 ・ リ スク 


本 稿 で は , 危害 と 潜在 危険 ,、 リ スク を 以下 の よう に 使い 分 け て 
いま す . 
e 危害 harm) : 身体 へ の 障害 や 健康 状態 の 悪化 な ど を 指す 


e 深 在 危険 hazard) : 危害 に 至る 影響 の 源 を 指す . 潜在 し て い 
る だ け な ら 危害 に は 至ら な い . 人 為 ミ ス や 装置 の 故障 な ど に 
よっ て 顕在 化し た 場合 に 危害 と な っ て 現れ る 


リスク: 危害 の 発生 頻度 と 危害 の 過酷 さ を 組み 合わ せ た も の 


図 2 立体 交差 に すれ ば 踏切 事故 は な く な る ( 本 質 安全 ) 


人 @ 安全 関連 系 の 故障 も 視野 に 入れ る 
リス ク を 軽減 する た め に 設置 する シス テム を 安全 関連 系 
( safety related system)」 と 呼び ます . 機構 に よる 技術 や 防 
護 璧 な どの 設備 も 安全 関連 系 に 含ま れ ま す が , IEC 61508 
は 電気 的 な 原理 で 動作 する 機器 や シス テム を 対象 と し て い 
ます . 例え ば , PL programmable 1ogic controler) や マ 
イコ ン , プロ セッ サ , メモ リ , LSI large scale integrated 
circuit ), ASIC application specific integrated circuit), 
セン サ , トラ ンス ミッ タ , アク チュ エー タ な ど が 対象 と な 
り ま す . 
具体 的 な が シス テム と し て は , 自動 車 分 野 に お ける ECU 
( electronic control unit), 化学 プラ ント 分 野 に お ける 安全 
計 装 シス テバ safety instrumented system: SIS), 原子 
力 分 野 に お ける C&I Control & Instrumentation), 産業 
機械 分 野 に お ける SRECS safety related electronic con- 
trol system) な ど が 該当 し ます . IEC 61508 で は これ ら を 
総称 し て ,「 電気 ・ 電 子 ・ プ ログ ラマ ブル 電 素 Electrical/ 
Electronic/Programmable Electronic) 」 の 安全 関連 系 と 
呼ん で いま す . 
一 般 に , ハー ド ウェ ア コン ピュ ー タ の 部 品 な ど ) は 故障 


hazard に つい て は , 危険 源 , 危険 因子 な ど と も 訳 さ れ ま す . 例 
えば , 機械 類 を 安全 に 設計 する た め の 国 際 規 格 ISO 12100 翻訳 
規格 JIS B 9700)」 に お いて は , hazard を | 危険 源 」 と 訳し て いま 
す . それ に 対し , IEC 61508 翻訳 規格 JIS C 0508)) に お いて は , 
危険 の 原因 と な る 要素 が 見 え や すい 機械 類 と 比べ て ,「 シス テム 
の どこ に 潜ん で いる の か 分 か ら な い 人 危険 |] と いう ニュ アン ス を 含 
ん だ 認 語 と し 潜在 危険 」 を 当て た そう で す . 
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し ます . また , ソフ ト ウェ ア に は 不具 信 バグ な どの ソフ e 第 4 部 : 用 語 の 定義 お よび 略語 
トウ ェ ア ・ エ ラー) が あり ます . 安全 関連 系 が 作動 する べ e 第 5 部 : 安全 度 水準 SIL) 決 定 方 法 の 事例 
き 事 態 に な っ た と き , それ が 不具 合 に よっ て 動作 し な けれ e 第 6 部 : 第 2 部 お よび 第 3 部 の 適用 指針 
ば 事故 に 至る 可能 性 が あり ます . 安全 の 確保 は 安全 関連 e 第 7 部 : 技術 お よび 手法 の 概 稚 
系 に か か わる さま ざま な 企業 に 広く 関係 する 問題 で あり , 
シス テム の 設計 や 運用 , 保守 な ど を 担当 する 企業 を 網羅 す PP TTIPT" TP 
る 仕組 み が 必 要 で す . この た め , IEC 61508 は , 製品 の 概 2. 安全 機能 と 安室 度 水 準 (SIL) を 定義 する 
念 か ら 設計 , 保守 , 改修 , 廃 却 に 至る まで の 製品 の ライ 村人 を 確保 する た め の 重 要 な 業務 の 一 つ に , 安全 関 
フ ・ サ イク ル 全 体 を 通し て , 業務 プロ セス を 定義 し て いま 連 系 に 対す る 安全 要求 事項 の 仕様 作成 が あり まず 図 3 の 
ず 図 3). フェ ー ズ 4 に 相当 ). 安全 要求 事項 は ,「 安全 機能 」 と | 安全 
IEC 6150% JIS C 0508) は 以下 の 7 部 に よっ て 構成 され 度 水 維 SIL)」 か ら 構 成 され まず 図 4. 安全 機能 と は , 例 
て いま す . 機能 安全 の 概要 を 知る に は , 図 3 に 示し た 管理 えば , 車 が 衝突 し た と き に 運転 者 を 守る た め に エア ・ バ ッ 
業務 の 全体 像 や 潜在 危険 , リ スク 解析 , 安全 度 水準 safety グ を 作動 させ る と いっ た , 安全 を 確保 する た め の 機能 で す . 
integrity level: SIL) な ど に つい て 規定 し て いる 第 1 部 を SIL と は , 安全 機能 を 作動 させ る 事態 に な っ た と き に , そ 
読む こと を お 勧め し ます . の 機能 エア ・ バ ッ グ ) が どの 程度 の 信頼 性 で 作動 する 必要 
e 第 1 部 : 一 般 要求 事項 が ある か を 示す 指標 で す . 
第 2 部 : 電気 ・ 電 子 ・ プ ログ ラマ ブル 電子 安全 関連 系 ( 以下 に , 安全 機能 や 安全 度 水準 を 決め て いく 手順 に つい 
対す る 要求 事項 て 説明 し ます . 


e 第 3 部 : ソフ トウ ェ ア 要 求 事項 


破線 は 規格 対象 外 で ある こと を 示す . 
フェ ー ズ 10 て 11 は 電気 ・ hi 
技術 で は な い の で , 名 称 だ けが 定 
され て いる . 較 


安全 関連 系 較 K 図 | 外 的 リス ク 図 
( E/E/PE) 較 ( その 他 の 技術 ) 較 | 軽減 施設 凶 


適切 な 安全 ライ フ ・ サ イク ル ・ 
フェ ー ズ に 戻る 図 


すべ て の 運用 保全 ・ 修 理 図 
16 使用 終了 / 廃 却 較 


図 3 シス テム の ライ フ ・ サ イク ル 全 般 に わた る 機能 安全 の 管理 業務 


IEC 61508 に 採用 され た , 電気 ・ 電 子 ・ プ ログ ラマ ブル 電 玉 E 克 /PE) の 安全 関連 系 に 関す る ライ フ ・ サ イク ル 業 務 を 16 フ ェ ー ズ に 分 類 ・ 
定義 し た 概念 図 .「 全 安全 ライ フ ・ サ イク ル overall safety life cycle)」 と も 呼ば れる . IEC 61508 で は , ゆり か ご か ら 墓 場 まで の 機能 安全 
管理 に 関す る 業務 を 規定 し て いる . な お , 図 中 び すべ て の 」 と ば シス テム 全体 に 対す る 」 と いう 意味 で ある . 
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@ 潜在 危 際 を 分 析 し て 安全 機能 を 決定 する 

シス テム に 必要 な 安全 機能 を 決め る た め に は , シス テム 

に どの よう な 潜在 危険 が ある の か が を 分 析 し ます . 潜在 危険 
を 分 析 す る 手法 の 一 つと し て , HAZOR Hazard and 
Operability) ス タデ ィ ゴ ? が あり ます . これ は , 化学 プラ 
ント 用 に 開発 され た 手法 で す が , 交通 シス テム や コン ピュ 
ー タ ・ シス テム な どの 分 析 に も 使用 され て いる 汎用 的 な 手 
失 下 すず す 。 

HAZOP スタ ディ ー で は , シス テム の 設計 パラ メー 人 包 例え 
ば , 化学 プラ ント の ある 反応 容器 周辺 に お けず 流量 」 ぜ や 温 
度 」,「 圧力 」 な ど ) に 対し ,「 な し ( No)」,「 過大 More)」, 
「 過小 Less)」,「 一 郊 Part of)」,「 枯 Reverse)」 な ど と 
いっ た ガイ ド ワ ー ド ( 基準 と な る 用 語 ) を 組み 合わ せ て , 安 
全 上 の 特性 を 系 統 的 に 分 析 し まず 表 1). 

分 析 に 際 し て は , シス テム 設計 者 や 安全 技術 者 , オペ レ 
ング 際 昌 を 行い ます . ある シス テム 内 の 場所 に お い 
て , 例え ば , 流量 が 過 礁 More) に な っ た 場合 に , その 原 
と 影響 を 同時 に 分 析 し ます . シス テム 内 の それ ぞ れ の 場 
所 に お いて , 必要 な 対策 を 提案 し な が ら HAZOP スタ ディ 
ー を 進め て いき ます . その 結果 , 要求 され る 安全 機能 が 決 
定 さ れ ま す . 


図 4 安全 要求 事項 = 安全 機能 十 安全 度 水準 


表 1 HAZOP スタ ディ ー に お ける 分 析 例 


@ リス ク が 許容 範囲 内 に 収まる よう に SIL を 決定 する 
次 に , シス テム に お ける リス ク を 解析 し , 求め た リス ク 
が 許容 で きる 範囲 に 収まる よう に , 安全 機能 に 要求 され る 
安全 度 水 維 SIL) を 決定 し ます . この 作業 を | SIL の 割り 当 
て 」 と 呼び まず 図 3 の フェ ー ズ 5 に 相当 ). SIL を 割り 当て 
る た め に は , 許容 で きる リス ク の 範囲 許容 リス ク ) を 事前 
に 決定 し て お く 必要 が あり ます . 
リス ク を 解析 する 手法 と し て は , フォ ー ル ト ・ ツ リー 解 
板 fault tree analysis: FTA) や イベ ント ・ ツ リー 解析 
定量 的 な 手法 と , リ 
スク ・ グ ラフ や リス ク ・ マ トリ ックス な どの 定性 的 な 手法 
が あり ます . 
それ ぞ れ の 安全 度 水 光 SIL) に 対し て 定め られ た 数 値 目 
標 を 表 2 に 示し ます . SIL が 高 最高 は SIL4) ほど , リス 
ク は 軽減 され ます . 作動 する 提 了 上 ヽ 安 全 関 連 系 の 場合 
( 自動 車 の エア ・ バ ッ グ な ど ) と , 頻度 が 高い 安全 関連 系 の 
場 注 自動 車 の ブ プレ ー キ な ど ) では, 数 値 目 標 が 異な り ま す . 
それ で は ここ で , 化学 プラ ント の 反応 容器 図 5) を 例 に , 
機能 安全 を どの よう に し て 達成 する の か を 説明 し ます . 図 
中 に 示し 基本 プロ セス 制御 系 」 は , 内 部 の 液 位 を 監視 す 
る セン サ と , 物質 の 流入 を 制御 する 制御 弁 か ら 構 成 さ れ て 
いま す .「 安全 関連 系 」 は , 圧力 を 監視 する セン サ と , マイ 


( event tree analysis : ETA) に よる 


表 2 それ ぞ れ の 安全 度 水 紗 SIL) に 対し て 割り 当て られ た 目標 機能 
失敗 凡 度 


作動 要求 の 頻度 に より , 割り 当て られ る 目標 機能 失敗 尺度 の 数 値 と 単位 が 異 
な る . 


低 頻度 作動 要求 モー ド 運用 | 高 頻度 作動 要求 また は 連続 モー ド 運用 
( 作動 要求 当たり の ( 単位 時 間 当 た り の 
設計 上 の 機能 失敗 平均 確率 ) 危険 側 故障 確 吾 1/ 時 間 ] 

0- 5 以上 10- 4 未満 10- 3 以上 10- 9 未満 

10- 4 以上 10- 3 未満 10- 8 以上 10- 7 未満 

0- 3 以上 10- 2 未満 10- 7 以上 10- 6 未満 

0- < 以上 10~ ! 未 満 10~ 以上 10- ? 未 満 


各 パ ラメ ー タ に 対し て さま ざま な ガイ ド ワ ー ド を 組み 合わ せ て , 潜在 危険 や 対策 を 洗い 出し て いく . 


機能 ・ 目 的 \ gz 結 果 


原 因 潜在 危険 


反応 容器 へ 


流量 損失 . シス テム 
の 移送 1 故障 , 機器 損傷 


配管 漏えい : 配管 破断 | 機器 損傷 


反応 容器 へ 


の 移送 : 圧力 高 , 配管 破断 


圧力 逃がし 弁 装置 


圧力 逃がし 弁 未 設置 遮断 弁 設置 


機器 損傷 


5 | 3 反応 物質 人 減 


配管 漏えい : 配管 破断 | 機器 損傷 還 
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コン な ど を 使っ た 遮断 弁 や 逃がし 弁 か ら 構成 さ れ て いま す . 
逃がし 弁 は , 機構 的 に 弁 を 開放 する , その ほか の 技術 に よ 
る 安全 関連 系 で す . 

最初 に:. リス ク 目 標 を 定義 する 必要 が あり ます . ここ で 

定量 的 な 例 と し て ,「 反応 容器 か ら ガ ス が 放出 され る 頻 
度 が , 1 年 の うち に 10~ 3 を 超え な いこ と ( 1000 年 に 1 回 以 
下 )」 と いう 目標 を 考え ます . 

次 に , イベ ント ・ ツ リー 解析 ETA) で リス ク を 計算 し 
て み ま ず 図 6). この シス テム に お いて は , 過度 に 圧力 が 
上 昇 す る 事象 が 10 年 に 1 回 発生 する と 想定 し ます . 警報 
( 高圧 チア ラーム) の 作動 お よび 運転 員 の 対応 , 逃がし 安全 弁 
の 作動 失敗 確率 を それ ぞ れ 0.1 と し ます . 

ここ で , 遮断 弁 と し て , 機能 失敗 平均 確率 が 10~- 3 か ら 
10- 2 の 範囲 に ある 2 けた 以上 の リス ク 軽 減 を 図れ る ) SIL2 
の シス テム を 設置 し て み ま す . この 遮断 弁 は , セン サ で 圧 


力 異常 を 検知 し た 場合 に , 逃がし 弁 が 作動 する 前 に 物質 の 


| 上 逃がし 弁 較 


基本 プロ セス 制御 系 固 


5 安全 関連 系 を 有する 化学 反応 容器 


化学 プラ ント の 典型 的 な 反応 容器 の 例 . 3 重 化 し た セン サ か ら の 信号 を 論理 
回 路 マイ コン な ど ) で 処理 し て , 緊急 時 に 遮断 弁 を 閉止 する . 


流入 を 遮断 し ます . これ に より , 放出 頻度 は 1 年 に 19X 
10- 移 な り , 目標 値 を 満足 し ます . 従っ て , 安全 関連 系 で 
ある 遮断 弁 の シス テム に は SIL2 を 割り 当て れ ば よい こと 
に な り ま す . 

ここ で は , リス ク を 定量 的 に 割り 当て る 方 法 に 
介し まし た が , 定性 的 な 方 法 も 認め られ て いま すま 1. 
生生 の に ウロ 
身近 な シス テム に 置き 換え て 考え て みて くだ さい . 


3. 機能 安全 を 実現 する | 


安全 に か か わる 故障 は , ラン ダム ・ ハ ー ド ウェ ア 改 隊 確 
率 論 的 原因 故障 ) と 決定 論 的 原因 故障 に 分 類 さ れ ます. 

ラン ダム ・ ハ ー ド ウェ ア 故 障 は , ハー ド ウェ ア に 関し て , 
部 品 や 材料 の 劣化 な ど に よっ て 起こ る 故障 で す . いつ 発生 
する か は 分 か り ま せん が , 発生 頻 度 は 定量 化 で きま す . 

一 方 , 決定 諭 的 原因 故障 は , 発生 し て みて 初め て 分 か る た 
ぐい の 故障 で あり , ハー ドウ ェ ア と ソフ ト ウェ ア の 両方 に 関 
し て 発生 し ます . ハー ド ウェ ア に 関し て は , シス テム の 設置 
前 や 設置 中 に , 部 品 の 組み 合わ せな ど に よっ て 故障 が 起こ り 
得 ま す . ソフ ト ウェ ア に 関し て は , 仕様 の 誤り や バグ な どの 
ソフ ト ウェ ア 故 障 が 起 こり 得 ます . 一 方 , シス テム を 設置 し 
た 後に は , 談 使用 と いう 故障 要因 も 考え られ ます . 


⑯ ラン ダム ・ ハ ー ド ウェ ア 故 障 に は 多重 化 で 対策 


ラン ダム ・ ハ ー ド ウェ ア 故 障 の 対策 と し て は , 故障 を 検 


注 1: リス ク を 定量 的 に 割り 当て る 方 法 と は , ここ で 述べ た よう に, 被害 の 
大 き さ と 頻度 か ら リ スク を 割り 出し て , 許容 で きる リス ク よ り も 小さ 
く な る よう に SIL を 決定 する 方 法 で ある . リス ク を 定性 的 に 割り 当て 
る 方 法 と は , 被害 の 大 き さ と 頻度 , 回 避 の 可否 , 事象 の 発現 回 数 な ど 
か ら , 対応 する べき SIL を 割り 出す 方 法 で ある . 


防護 層 較 
高圧 | 運転 員 較 作 断 弁 
アラ ー ム 陸 応答 較 |( SIL2) シナ リオ 上 朗 / 年 ) 可否 区 
1. 物質 放出 な し 8x10-2 可 図 
大 DE 語 2. 物質 放出 な し 9x10-3 可 図 
放 っ 9 3. 逃がし 弁 放出 8X10-5 各区 
過 圧 図 | " 軸 
10 座 寺 合間 9X10? に 
図 6 失敗 図 GR な し 。 1X10-2 可 
イベ ント ・ ツ リー 人 解析 ( / 年 ) Pe 上 ー ト em 逃がし 弁 放出 9X10~? 吾 図 
何ら か の 原因 に より , 反応 容器 の 内 部 の ガス が 外部 に 放出 され ( 確率 ) 図 10"“ ーー 7. 反応 容器 破損 1X10-5 否 図 
る と いう シナ リオ を 分 析 し て , 個別 の シナ リオ の 頻度 を 計算 し 10 放出 痕 度 OO 
た イベ ント ・ ツ リー 図 . 過 圧 に 至る 事象 は 10 年 に 1 回 発生 する の 本 Ia 


と 仮定 し , 対応 操作 の 成功 確率 / 失 敗 確率 を 分 岐 上 に 示し て いる . 
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組み 込み シス テム o 幅 頼 性 と 安全 性 を 高め る 


入力 図 | 論理 図 | 出力 図 

回 路 凶 | 回 路 図 | 回 路 較 ? 

入力 図 | 論理 図 | 出力 図 ぁ 
回 路 凶 | 回 路 図 | 回 路 較 ? 


図 7 冗長 ハー ドウ ェ ア 構 成 の 例 

故障 時 の 信頼 性 を 向上 させ る た め に 二重化 し た シス テム の 模式 図 . 
一 方 の チャ ネル に お いて 故障 が 発生 し , 安全 機能 の 達成 が で き な 
か っ た と し て も , も う 一 方 の チャ ネル で 安全 機能 を 実行 で きる . 


図 8 

ソフ トウ ェ ア の ライ フ ・ サ イク ル 業 務 

ライ フ ・ サ イク ル 全 般 に わた る 機能 安全 の 管理 業務 図 3) の フェ 
ー ズ 9 は , ハー ド ウェア ・ ラ イフ ・ サ イク ル と ソフ ト ウェ ア ・ ラ 
イフ ・ サ イク ル か ら 構 成 さ れる . この うち の ソフ ト ウェア ・ ラ イ 
フ ・ サ イク ル を 図示 し た . 


知 診断 ) し , 故障 を 隠 ポ 多重 化 / 冗 長 化 ) 技術 な ど が 採用 
され ます . 

故障 検知 に つい て は , IEC 61508 第 2 部 の 付属 書 A に , 
CPU や バス な どの 故障 診断 技術 が まとめ られ て いま す . 
ハー ド ウェ ア に 対し て 要求 され る 安全 度 水準 SIL) が 高 
けれ ば 高い ほど , 単 一 チャ ネル の ハー ド ウェア 構 成 で それ 
を 実現 する の は 難し く な り ま す . その た め , ハー ドウ ェ ア 
構成 を 多重 化し て , 一 方 の チャ ネル が 故障 に より 安全 機能 
を 喪失 し た 場合 は も う 一 方 の チャ ネル に よっ て 安全 機能 を 
実行 で きる よう に 設計 し まず 図 の . 


人 @ 決定 論 的 原因 故障 に は プロ セス 定義 で 対策 

決定 論 的 原因 故障 に 対し て は , ラン ダム ・ ハ ー ド ウェ ア 
故障 の 対策 は ほとん ど 役 に 立た な いと 言わ れ て いま す . ハ 
ー ド ウェ ア や ソフ ト ウェ ア を 実装 する に あたり , 決定 論 的 
原因 故障 の 対策 と し て は , それ ぞ れ の 業務 プロ セス を 定義 
し た ライ フ ・ サ イク ル に 従っ て 業務 を 実施 する こと が 求め 
られ ます . 各 フ ェ ー ズ に お いて , 割り 当て られ た SIL に 応 


表 3 ソフ トウ ェ ア ・ モ ジュ ー ル ・ テ スト と 統合 テス ト の 技法 
この 技法 の 使い 分 け は , ソフ トウ ェ ア の ライ フ ・ サ イク ル 業 務 の フェ ー ズ 
9.3 で 規定 され て いる . 


技術 / 手 法 SI 量 SI SWS SIL4 
確率 的 テス ト ー 推奨 推奨 強く 推奨 
動 的 分 析 ・ テ スト 推奨 強く 推奨 | 強く 推奨 | 強く 推奨 
デー タ 記 録 ・ 分 析 強く 推奨 | 強く 推奨 | 強く 推奨 | 強く 推奨 


台 ビ 一 4 
全 ス ト ー フ ッ ク | 強く < 推 六 | 強く 推 | 強く 推 | 強く 推 


性 能 テ スト 推奨 推奨 強く 推奨 | 強く 推奨 


イン ター フェ ー ス ・ テ スト | 推奨 推奨 強く 推奨 | 強く 推奨 


トウ ェ ア 運 用 ・ 凶 
手順 較 


図 3 の フェ ー ズ 14 へ 図 


Y 
図 3 の フェ ー ズ 12 へ 較 


じ た 技 法 を 選択 し て 業務 を 実施 し , その 結果 を 文書 ド 
キュ メン ト ) に まとめ , 情報 と し て 次 の フェ ー ズ に 引き 渡 
し ま の 

例 と し て , ソフ トウ ェ ア の ライ フ ・ サ イク ル に 対し て 定 
義 さ れ て いる 業務 プロ セス を 図 8 に 示し ます . 図 中 の フェ 
ー ズ 98 では, ソフト ウェ ア の アー キテ クチャ や ヤシ スチ テム 。 
モジ ュー ル と いっ た , 構造 的 な レベ ル に お ける 設計 ・ 開 発 
に 対す る 要求 事項 が 規定 され て いま す . 例え ば , ソフ トウ 
ェ エア ・ モ ジュ ー ル を 対象 に し た テス ト で は , ソフ ト ウェア 
の 安全 要求 事項 を (要求 され る 安全 機能 と 安全 度 の 両方 の 
観点 か ら ) 確か め る こと で , それ ぞ れ の ソフ ト ウェ ア ・ モ 
ジュ ー ル が その 意図 し た 機能 を 実行 し , 意図 し な い 機 能 は 
実行 し な いこ と を 明示 する 必要 が あり ます . この た め , こ 
の フェ ー ズ に は , フェ ー ズ 9.1 か ら ソ フト ウェア ・ モ ジュ 
ー ル の テス ト 仕様 や ソー ス ・ コード な ど が 引き 継が れ , ま 
た 次 の フェ ー フェ ー ズ 94 と フェ ー ズ 95) に は , ソフ ト 
ウェ ア ・ モ ジュ ー ル の テス ト 結果 と テス ト 済み の ソフ ト 
ウェ ア ・ モ ジュ ー ル が 引き 継が れ て いき ます . 
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フェ ー ズ 9.3 で は , 表 3 に 示す 六 つ の ソフ ト ウェ ア ・ モジ 
ュー ル ・ テ スト や 統合 テス ト の 技法 を , SIL に 応じ て 使い 
分 ける こと が 要求 され て いま す . 


念 物差し と し て IEC 61508 を 活用 する 

機能 安全 は コン ピュ ー タ 技術 の 普及 と 密接 に 関係 し て 登 
場 し た , 新しい 安全 確保 の 枠組 み で す . 一 方 , 事故 や トラ 
ブル が 発生 し た 場合 , 製造 物 責 任 洲 PL 法 ) と の 関係 が 
じ ら れ る こと が あり ます . PFL 法 は , 製造 物 の 欠陥 に よる 
損害 に 対す る 賠償 責任 を 規定 し た 法律 で あり , 国内 で は 
1994 年 に 施行 され まし た . PL 法 に よる と , 損害 が 予見 可 
能 だ っ た と みな され る と , 賠償 責任 を 問わ れる 可能 性 が あ 
る の で , 機能 安全 の 考え 方 や IEC 61508 と は 非常 に 微妙 な 
関係 に ある と 言え ます . 

IEC 61508 は , 絶対 安全 は な いと いう 前 提 の 規格 で すか 
ら , この 規格 に 従え ば ,「 事故 や トラ ブル が 絶対 に な く な 
る 」 と いう こと は あり 得 ま せん . し か し , IEC 61508 は , さ 
ま ざ ま な 産業 シス テム の 安全 性 や , 企業 の 安全 の 取り 組み 
を 比較 で きる よう に , 世界 の 安全 の 専門 家 が 長年 か か っ て 
作成 し た 安全 の 物差し で す . 普段 の 企業 活動 を IEC 61508 
に 照ら し 合わ せる こと に より , 何 が 足り て いて 何 が 足り な 
い の か を 把握 で きま す . また , 発生 し た 事故 を , IEC 61508 
に ら し て 分 析 し , 事故 の 教訓 を 体系 的 な 枠組 み の 中 で 生 
が か すこ も で きる で いし よう 。 で うし て WS こと で 、 56 
61508 の 本 来 の 意図 で あざ 安心 ・ 安全 な 社会 を 実現 ・ 維 持 
する こと 」 が 可能 に な る と 考え ます . 

IEC 61508 は 2008 年 に 改訂 され る 予定 で あり , 現在 , 


ネー ジャ に と っ て 必携 の 解説 書 で す . 


ISBN4-7898-3615-0 


原題 : Verification Methodology Manual for SystemV erilog. 


際 委 員 会 で 審議 中 で す . 新 技術 と し て , セキ ュ リ ティ , オ 
ブ ジ ェクト 指向 モデ リン グ な ど に つい て , 機能 安全 で どの 
よう に 考え る べき か を 審議 し て いま す . な お , 今回 の 審議 
で 改訂 が 終わ り と いう わけ で は あり ませ ん . コン ピュ ー タ 
技術 の 進歩 に 追従 する べく , 今後 も 改訂 を 重ね て いく と 思 
われ ま す . 


参考 ・ 引 用 * 文献 

( 1) IEC 61508, "Functional Safety of Electrical / Electronic / Pro 
grammable Electronic Safety Related Systems", Part1245, 
1998 Part2,. 6. 7 2000. 

( 2) JIS C 0508,「 電気 ・ 電 子 ・ プ ログ ラマ ブル 電子 安全 関連 系 の 機 
能 安全 」, 日 本 規格 協会 , 第 1, 4, 5 部 , 1999 年 , 第 2 3 6 7 
部 , 2000 年 . 

( 3) ISO/IEC GUIDE 51:1999, "Safety aspects - Guidelines for their 
imclusion im standards", Second edition, 1999. 

( 4) F. Redmil, M. Chudleigh, J. Catmur : System Safety: HAZOP 
and Software HAZOP, John Wiley & Sons, 1999. 


た な べ ・ や す お 
( 株 ) 日 本 機能 安全 


ぐ 筆 者 プロ フィ ー ル ツ 

田辺 安雄 . 1949 年 3 月 13 日 生ま れ . 大 阪 大 学 大 学院 工学 研究 科 に て 
応用 物理 を 専攻 し , 1974 年 4 月 , 東芝 に 入社 . 原子 力 事 業 部 に て 原 
子 炉 の 炉心 設計 , 燃料 設計 お よび 原子 カプ ラン ト の 遮 へ い 設計 , 安全 
設計 に 従事 . 2001 年 11 月 か ら 電力 シス テム 社 の 事業 開発 推進 室 に て 
IEC 61508 や リス ク 評 価 の 普及 活動 に 従事 . 2005 年 3 月 , 東芝 を 退 
職 し , 4 月 か ら 関 連 会 社 で ある アイ テル 技術 サー ビス に 入社 , 同業 務 
を 継続 する , 2005 年 10 月 , ガ イア ・ シ ステ ム ・ ソ リュ ーション 入社 , 
機能 安全 コン サル ティ ング 業務 に 従事 . 2006 年 7 月 , 日 本 機能 安全 
に て 同業 務 に 従事 , 現在 に 至る . IEC 61508 国際 委員 会 エキ スパ ー 
ト , 国内 対策 委員 会 委員 . 


Design Wave Advance 好評 発売 中 
SystemVerilog で LSI 機 能 検証 プロ セス を 徹底 改善 


ベリ フィ ケー ショ ン ・ メ ソ ド ロ ジ ・ マ ニュ アル 
Janick Bergeron, Eduard Cerny, Alan Hunter, Andrew Nightingale 著 


STARO 半導体 理工 学研 究 セ ンタ ー), ARM, Synopsys 監訳 
B5 変型 判 456 ペー ジ 定価 3,.990 円 税込 ) 


本 書 は , ディ ジタル LSI 開発 の 機能 検証 に 関す る 指針 を まとめ た ノウ ハウ 集 で す . 検証 計画 や テス ト ベン チ , アサ ーション , 
カバ レッ ジ , シス テム ・ レ ベル 検証 の 具体 的 な ルー ル や 推奨 事項 に つい て 解説 し て いま す . Sod system on a chip) や ASIC 
( application specific integrated circuit) の 開発 に 携わる 設計 エン ジニ ア , 検証 エン ジニ ア , シス テム ・ ア ー キ テク ト , 設計 マ 


CQ 出 版 桂 〒170-8461 東京 都 豊 島 区 巣鴨 1-14-2 販売 部 谷 (03) 5395-2141 振替 00100-7-10665 


26 Design Wave Magqzine 2006 December 


